金陵科技學(xué)院 王 貴

訪問(wèn)控制列表作為提升網(wǎng)絡(luò)安全性能的有效對(duì)策，是指一種用來(lái)過(guò)濾和控制進(jìn)出路由器數(shù)據(jù)流的先進(jìn)技術(shù)，在實(shí)踐應(yīng)用中既能控制網(wǎng)絡(luò)流量速度，又可以提升網(wǎng)絡(luò)系統(tǒng)運(yùn)行性能。因此，本文在了解計(jì)算機(jī)局域網(wǎng)網(wǎng)絡(luò)安全和訪問(wèn)控制列表相關(guān)理論知識(shí)的基礎(chǔ)上，根據(jù)近年來(lái)路由器訪問(wèn)控制情況分析，如何在計(jì)算機(jī)局域網(wǎng)網(wǎng)絡(luò)安全中合理應(yīng)用路由器訪問(wèn)控制列表。

1 介紹

根據(jù)近年來(lái)計(jì)算機(jī)技術(shù)革新發(fā)展情況分析可知，局域網(wǎng)網(wǎng)絡(luò)安全得到了全社會(huì)的關(guān)注。本文研究以異構(gòu)系統(tǒng)下的網(wǎng)絡(luò)環(huán)境為依據(jù)，分析判斷其所包含的訪問(wèn)控系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)，由于各系統(tǒng)之間的通信都是利用網(wǎng)絡(luò)平臺(tái)進(jìn)行的，所以很容易在違規(guī)操作下被截獲或遺漏。而解決這一問(wèn)題最有效的方法就是實(shí)施數(shù)據(jù)加密，利用密文傳遞數(shù)據(jù)信息，這樣接受放在獲取信息之后，會(huì)按照原有算法和密鑰實(shí)施解密。最終保障整體操作過(guò)程都處在安全的環(huán)境中，從基礎(chǔ)上保障數(shù)據(jù)傳輸?shù)陌踩浴Ｒ猿Ｓ玫臋E圓曲線公鑰密鑰算法SM2算法為例，選用這種模式對(duì)信任證實(shí)施加密和解密處理，可以確保信任證在應(yīng)用傳遞期間一直處在安全且穩(wěn)定的環(huán)境中。具體加密算法和操作步驟如下所示：

假設(shè)M代表需要傳遞的信息和等待加密的信息，Klen代表M的比特長(zhǎng)度，G代表橢圓曲線的一個(gè)基點(diǎn)，屬于素?cái)?shù)，n代表基點(diǎn)G的階，KDF是指密鑰的派生函數(shù)，PB代表用戶(hù)B的公鑰。那么要想對(duì)明文M實(shí)施加密，而作為加密者的用戶(hù)A要進(jìn)行下述操作：

A2要計(jì)算橢圓曲線點(diǎn)：

同時(shí)將C1的數(shù)據(jù)類(lèi)型轉(zhuǎn)變?yōu)楸忍卮?/p>

A3要計(jì)算橢圓曲線點(diǎn)：

假設(shè)S代表無(wú)窮遠(yuǎn)點(diǎn)，那么就要報(bào)錯(cuò)并退出。

A4要計(jì)算橢圓曲線點(diǎn)：

并將坐標(biāo)x2，y2的數(shù)據(jù)類(lèi)型轉(zhuǎn)變成比特串。

A5計(jì)算：

假設(shè)t代表全是0的比特串，那么就要重新返回A1進(jìn)行操作。

A8輸出密文：

C代表經(jīng)過(guò)加密之后的密文。

且具體操作流程圖如圖1所示。

圖1 加密算法的操作流程圖

而在解密過(guò)程中，結(jié)合如圖2所示的操作流程圖分析可知，假設(shè)Klen代表密文中C2的比特長(zhǎng)度，M代表解密之后的明文，為了正確解密加密之后的密文，解密者用戶(hù)B要進(jìn)行下述運(yùn)算：

圖2 解密操作流程圖

B1計(jì)算橢圓上的點(diǎn)C1，假設(shè)不是報(bào)錯(cuò)就要退出。

B2計(jì)算橢圓曲線點(diǎn)：

假設(shè)S是無(wú)窮遠(yuǎn)點(diǎn)，那么要報(bào)錯(cuò)退出。

B3計(jì)算：

并將坐標(biāo)x2，y2的數(shù)據(jù)類(lèi)型轉(zhuǎn)變成比特串。

B4計(jì)算：

假設(shè)t代表全是0的比特串，那么就要報(bào)錯(cuò)退出。

B5從C中獲取比特串C2，并計(jì)算：

B6計(jì)算：

從C中獲取比特串C3，假設(shè)u≠C3，那么就要報(bào)錯(cuò)退出。

B7輸出銘文M1

2 如何在計(jì)算機(jī)局域網(wǎng)網(wǎng)絡(luò)安全中應(yīng)用路由器訪問(wèn)控制列表

首先，預(yù)防病毒傳播與黑客攻擊。在處理網(wǎng)絡(luò)系統(tǒng)漏洞時(shí)，部分病毒會(huì)經(jīng)過(guò)UDP端口和TCP端口進(jìn)入到內(nèi)部，并由此傳播病毒和進(jìn)行不良攻擊。需要注意的是，最后一條語(yǔ)句非常重要，可以讓其他數(shù)據(jù)包通過(guò)，因此若是沒(méi)有這一內(nèi)容，那么其他數(shù)據(jù)包必然會(huì)被拒絕進(jìn)入內(nèi)網(wǎng)，而內(nèi)網(wǎng)同樣也無(wú)法訪問(wèn)外網(wǎng)。

其次，預(yù)防非法探測(cè)和IP地址欺騙。結(jié)合現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析可知，網(wǎng)絡(luò)系統(tǒng)內(nèi)部的交換機(jī)和路由器會(huì)利用E1端口實(shí)施連接，內(nèi)部局域網(wǎng)會(huì)經(jīng)過(guò)路由器的S0接口和網(wǎng)絡(luò)相連。IP欺騙是指創(chuàng)造類(lèi)似其他IP地址的數(shù)據(jù)包，而黑客常用的手段就是將自己偽裝成內(nèi)部或外部信任的IP地址來(lái)實(shí)施目標(biāo)攻擊。由于這類(lèi)行為很難被檢測(cè)出來(lái)，且需要進(jìn)行有技巧的監(jiān)管與分析，所以根據(jù)以往工作經(jīng)驗(yàn)分析，可以在路由器S0接口的入口區(qū)域設(shè)計(jì)訪問(wèn)控制列表，由此預(yù)防外網(wǎng)黑客利用掃描工具進(jìn)入內(nèi)部網(wǎng)絡(luò)中。

再次，管控上網(wǎng)時(shí)間。在明確時(shí)間訪問(wèn)控制列表的基礎(chǔ)上，設(shè)計(jì)有效的時(shí)間范圍來(lái)科學(xué)配置網(wǎng)絡(luò)，需要先明確時(shí)間段和具體時(shí)間范圍，而后基于拓展訪問(wèn)控制列表進(jìn)行應(yīng)用，以此滿(mǎn)足不同時(shí)間段的管理需求。為了保證時(shí)間訪問(wèn)控制列表具有有效性，需要提供兩方面的命令，一方面是指時(shí)間段和時(shí)間范圍，另一方面，是結(jié)合訪問(wèn)控制列表的自身配置提出詳細(xì)的規(guī)則。需要注意的是，一個(gè)時(shí)間范圍內(nèi)只能包含一個(gè)命令時(shí)間范圍（absolute）的語(yǔ)句，但可以包含多個(gè)以星期為參數(shù)來(lái)定義時(shí)間范圍（periodic）的命令語(yǔ)句。

最后，控制訪問(wèn)虛擬終端。網(wǎng)絡(luò)設(shè)備的安全性對(duì)整體計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)運(yùn)行都具有積極作用，加強(qiáng)對(duì)設(shè)備安全的管控力度，不僅能預(yù)防用戶(hù)受外部違法行為的攻擊，還可以減少不必要的經(jīng)濟(jì)損失。從本質(zhì)上講，網(wǎng)絡(luò)設(shè)備訪問(wèn)控制的根本目標(biāo)在于避免非法用戶(hù)進(jìn)入網(wǎng)絡(luò)設(shè)備，并對(duì)其相關(guān)配置信息進(jìn)行篡改，以此保障設(shè)備網(wǎng)絡(luò)可以安全穩(wěn)定的運(yùn)行。同時(shí)，設(shè)計(jì)vty線路能方便網(wǎng)絡(luò)訪問(wèn)，而虛擬終端線路主要用來(lái)對(duì)路由器進(jìn)行遠(yuǎn)程訪問(wèn)。通常情況下，路由器包含5條終端線路，最多可以設(shè)置16條線路。在虛擬終端線路中設(shè)計(jì)訪問(wèn)控制列表時(shí)，可以支持或禁止用戶(hù)利用虛擬終端訪問(wèn)進(jìn)入路由器。例如，只支持部分IP地址或網(wǎng)絡(luò)地址可以遠(yuǎn)程登錄到路由器內(nèi)部，以此從基礎(chǔ)上保障網(wǎng)絡(luò)設(shè)備的安全性。

3 結(jié)果分析

結(jié)合某網(wǎng)絡(luò)系統(tǒng)中設(shè)計(jì)的路由器訪問(wèn)控制列表形式分析，在實(shí)踐工作中要求PCL所在網(wǎng)絡(luò)區(qū)域只能訪問(wèn)服務(wù)器中的WWW，并不能訪問(wèn)FTP。因?yàn)镕TP具備兩個(gè)端口，21是指控制通道，20是指數(shù)據(jù)通道，所以為了保障整體系統(tǒng)運(yùn)行的安全性，需要同時(shí)關(guān)閉兩個(gè)端口。同時(shí)，還要在控制列表的最后添加“access-list 105 permit ip any any”命令語(yǔ)句，不然其他網(wǎng)絡(luò)區(qū)域的PC無(wú)法直接訪問(wèn)主機(jī)172.16.3.3.。原因在于系統(tǒng)默認(rèn)會(huì)在控制列表的最后添加“deny any any”。

根據(jù)上述案例分析可知，利用訪問(wèn)控制列表進(jìn)行安全保護(hù)工作，實(shí)現(xiàn)方法涉及到以下幾點(diǎn)內(nèi)容：其一，要在全局配置模式下明確訪問(wèn)列表；其二，要將具體列表運(yùn)用到接口中，確保通過(guò)這一街口的數(shù)據(jù)包可以得到匹配，而后決定拒絕還是通過(guò)；其三，訪問(wèn)列表語(yǔ)句要按照順序邏輯進(jìn)行科學(xué)處理，并在列表中按照從上到下的順序進(jìn)行匹配數(shù)據(jù)包。假設(shè)一個(gè)數(shù)據(jù)包頭和訪問(wèn)權(quán)限表的某一個(gè)語(yǔ)句不匹配，那么要繼續(xù)檢查列表中的下一個(gè)語(yǔ)句。在執(zhí)行到訪問(wèn)列表的最后語(yǔ)句時(shí)，如果還是沒(méi)有與其相匹配的語(yǔ)句，那么數(shù)據(jù)包將會(huì)被隱含的拒絕語(yǔ)句所拒絕。

結(jié)語(yǔ)：綜上所述，新時(shí)代背景下，面對(duì)日益革新的市場(chǎng)環(huán)境，計(jì)算機(jī)局域網(wǎng)作為各領(lǐng)域建設(shè)革新的基礎(chǔ)內(nèi)容，加強(qiáng)對(duì)網(wǎng)絡(luò)安全性的監(jiān)管力度，必須要合理利用路由器訪問(wèn)控制列表，只有這樣才能從基礎(chǔ)上保障傳輸數(shù)據(jù)的完善性和有效性，并由此避免網(wǎng)絡(luò)系統(tǒng)受違規(guī)攻擊。同時(shí)，要結(jié)合不同類(lèi)型的訪問(wèn)控制列表科學(xué)管控網(wǎng)絡(luò)系統(tǒng)的運(yùn)輸流量，避免路由器端口處存在過(guò)多影響安全性能的不良因素。